hallo

Mijn pc staat 24/7 aan met als services ssh en ftp

In ssh is rootlogin op NO gezet
in FTP staat anonymous uit

Ik krijg geregeld sys-mails,, zoiets als:
www.fedora-nieuws.nl/document/hack.html

ik heb denyhosts en fail2ban al geinstalled

Hoe kan ik deze pogingen het zwijgen oplegen
Ik vindt het wel lachwekkend wat er staat, maat wil er nu gewoon vanaf

ps: het IP verschilt telkens

Evert

ssh op een andere port zetten werkt al erg goed.

Mogelijk ook alleen ssh allowen op jou eigen ip ?

Tja, scans op poort 22 zijn altijd een drama. ikzelf heb hem op een andere poort gezet en daarna geNAT naar 22.

Lijkt er zwaar op dat fail2ban niet goed werkt of niet goed configged is. Kijk eens in de log van fail2ban!

Vreemd dat je portsentry plat gaat. Of deed je dat zelf?

Waarom zou je dit soort programma's installeren, als je goede wachtwoorden gebruikt of liever nog rsa/dsa keys dan is er niets aan de hand.

Gewoon je systeem keep it simple houden, en niet allerlei portscandetectors, portblockers en andere shit installeren.

Die discussie hebben we vaker gehad. Alleen al om de logs schoon te houden en opdringerige figuren wat extra te weren is fail2ban prima.

Ik denk dat fail2ban niet correct werkt….

Wat Arvid zegt, daarnaast iets als:

[code:1:aee76405de]
/usr/sbin/iptables -A INPUT -p tcp –dport 22 –dst $EXTERNE_IP -i eth0 -m state –state NEW -m recent –set
/usr/sbin/iptables -A INPUT -p tcp –dport 22 –dst $EXTERNE_IP -i eth0 -m state –state NEW -m recent –update –seconds 120 –hitcount 4 -j DROP
/usr/sbin/iptables -A INPUT -p tcp –dport 22 –dst $EXTERNE_IP -i eth0 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
[/code:1:aee76405de]

Vier pogingen in twee minuten lijkt me ruim voldoende .

Toch vind ik fail2ban prettig. Regelt het gelijk ook voor apache en als je wilt andere inlog-methodes.

Je fail2ban-log moet er zo uitzien: http://sourceforge.net/project/screenshots.php?group_id=121032

Even wat leuke statistieken want het is gewoon lachwekkend, lol

Totaal:

[code:1:7d9a8dcabf]
root@thor:~# cat /var/log/messages | wc -l
10901
root@thor:~#
[/code:1:7d9a8dcabf]

Totaal Failed password:

[code:1:7d9a8dcabf]
root@thor:~# grep "Failed password" /var/log/messages | wc -l
5300
root@thor:~#
[/code:1:7d9a8dcabf]

Totaal Invalid user:

[code:1:7d9a8dcabf]
root@thor:~# grep "Invalid user" /var/log/messages | wc -l
5135
root@thor:~#
[/code:1:7d9a8dcabf]

Dit is een volhoudertje

[code:1:7d9a8dcabf]
root@thor:~# grep "65.19.155.219" /var/log/messages | wc -l
2768
root@thor:~#
[/code:1:7d9a8dcabf]

Maar deze kan er helemaal wat van

[code:1:7d9a8dcabf]
root@thor:~# grep "213.223.116.132" /var/log/messages | wc -l
7570
root@thor:~#
[/code:1:7d9a8dcabf]

De size van /var/log/messages (met dank aan logrotate ;-) )

[code:1:7d9a8dcabf]
root@thor:~# du -h /var/log/messages
956K /var/log/messages
root@thor:~#
[/code:1:7d9a8dcabf]

[quote:64c4bd27e7="MrLeeJohn"]Lijkt er zwaar op dat fail2ban niet goed werkt of niet goed configged is. Kijk eens in de log van fail2ban!

Vreemd dat je portsentry plat gaat. Of deed je dat zelf?[/quote:64c4bd27e7]

ik heb portsentry niet plat gegooid, ben er eerlijk gezegd verbaasd over dat het gebeurt.

Ik heb inmiddels fail2ban iets aangepast

Alles weer onder controle? Wat was er mis?

volgens mij de config van fail2ban

heb bij de config de poorten van ftp en ssh ingevulld ipv alleen de naam port.

Hopelijk werkt het nu goed.

hoe ziet jouw config eruit Leon??

Ik heb um default gelaten.

Nog iets over portsentry gevonden? Hij mag alleen op poorten draaien waar geen services op luisteren he…